mysql 8.0版中的hash（）函数

Posted 2021-04-14

我正在尝试将密码存储在我的用户表中。当然，我想先加盐并哈希。

但是mysql中没有hash（）方法了。我怎么能在8.0版本中做到这一点？还有替代品吗？

在此先感谢您的帮助。

答案

在将密码发送到SQL之前，您应该在应用程序中哈希密码。

我为什么这么说？毕竟你可以这样做：

INSERT INTO Accounts (user, salt, password) 
VALUES ('myuser', '1234', SHA2(CONCAT('xyzzy', '1234'), 256))

但现在您的密码'xyzzy'在查询日志和二进制日志中以纯文本形式出现，即使它以散列形式存储在表本身中。如果你没有充分保护你的日志，黑客可以抓住他们并找到每个人的密码。

而是在应用程序代码中执行哈希操作。获取结果，并将哈希字符串逐字保存在数据库中。

INSERT INTO Accounts (user, salt, password) 
VALUES ('myuser', '1234', 'd3822b5f03ad0c1a363d874238f6b48fd68a131cc35d5e55c77a81db1d266b84')

这样就不会记录纯文本密码。

同样，当您在用户登录时对其进行密码检查时，请读取salt，然后使用它来散列输入的密码，然后将其与存储在数据库中的哈希字符串进行比较。

SELECT salt FROM Accounts WHERE user = ?

...calculate hash string using user input + salt...

SELECT password = ? AS password_matches FROM Accounts WHERE user = ?